タグ

SSLに関するakira1908jpのブックマーク (16)

  • 迂闊にTLS/SSLをPHPで実装してみたら最高だった件 - Code Day's Night

    この記事はTLS/SSLを実装してみたいという人が増えるといいな!という気持ちで書いています。実装の詳細は別記事で書こうかと思います。 数年前からいつかTLS/SSLのプロトコルをPHPで実装したいと思い、まずはで知識を得ようかとラムダノートの「プロフェッショナルSSL/TLS」や 「徹底解剖TLS1.3」を買って読んでみましたが、なかなか頭に入らずに読んでは寝てしまうというパターンに。 やはり自分でTLSを実装してみないとなと思ってたところに、PHPカンファレンス福岡2024で hanhan1978 さんの「PHPでデータベースを作ってみた」を見て大いに刺激をもらい、ついにTLS実装に着手できました。 speakerdeck.com この資料は当によくて名言の宝庫です。たとえば、 「まじめに作ろうとすると大変な努力が必要になる。もっと迂闊につくりたい」 「不格好でもいいので、動く完成

    迂闊にTLS/SSLをPHPで実装してみたら最高だった件 - Code Day's Night
  • Let's Encryptの証明書切替周りその後 | おそらくはそれさえも平凡な日々

    Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる」の続き。 色々動きがあって猶予もできて助かった形だけど、来年9月29日以降の対応をどうするか考えないといけない状況なのは当然変わっていません。先にまとめると以下。 何もせずとも来年の1月11日までは猶予が伸びた 証明書を発行する側の場合、各クライアントで --preferred-chain "DST Root CA X3" のようにオプション設定することで、来年の9/29まで先延ばしが可能 独自ドメインに対して自動でSSL証明書を発行してくれるサービスを利用している場合はサービスが声明を出していないか調べ、出してない場合は問い合わせると良いでしょう 前回以降の動き go-acme/legoに--preferred-chainオプションのpull requestを取り込んでもらいました デフォルトRoot証

    Let's Encryptの証明書切替周りその後 | おそらくはそれさえも平凡な日々
  • 数分でできる!mkcertでローカル環境へのSSL証明書設定 - Hivelocity (ハイベロシティ) デジタルでビジネスを最適化

    みなさんローカル環境での開発時は必要に応じて「自己署名入り証明書」(通称:オレオレ証明書)を作成していると思います。 ほとんどは主にopensslなどを使って作成していたりすると思いますが、オプションが複雑で毎回ググったり、そもそもopensslのバージョンの問題などでコマンドがコケることもしばしばあるのではないでしょうか。僕だけですかね(苦笑) 日頃からサーバーサイドのことをやっているわけではないので結構ストレスを感じながらやっていましたが、今回ServiceWorkerをいろいろ検証(「Workbox + webpackでServiceWorkerのオフラインキャッシュと戯れる」、「ServiceWorkerのキャッシュ戦略を考える」を参照)するにあたって調べたところmkcertというツールを発見。使ってみてものすごく簡単だったのでオススメしたいと思います。 github インストール

    数分でできる!mkcertでローカル環境へのSSL証明書設定 - Hivelocity (ハイベロシティ) デジタルでビジネスを最適化
  • ローカル環境でSSLをオレオレ証明書で行っていて警告が出てる人に朗報 - Qiita

    概要 いつも警告が出て面倒に思っている自分がいましたが、ついにそれが解決できるときが。ブラウザからオフにすることもできるがセキュリティレベルを下げるのはよろしくないので、今までその選択肢を使っていませんでしたが、今年の6月にmkcertというリポジトリができ、この短期間でスターが1万超え!Goで作られていますね。 mkcertで証明書を発行するとなんと警告が出なくなりました! さっそく、インストールを手順を説明していきます。 OS: 10.13.5 ブラウザ: chrome 69 インストール手順 mkcertのインストール homebrewからインストール可能です。READMEにも書いてありますが、Firefoxを使用している人は、別途nssのインストールが必要みたいです。今回はChromeで行ったのでFirefox環境では検証していません。

    ローカル環境でSSLをオレオレ証明書で行っていて警告が出てる人に朗報 - Qiita
  • SSL (TLS) 対応プロトコルのリスト - Qiita

    御社の常時SSL (TLS) への対応はお済みですか。というわけで稿ではRFCで標準化されているプロトコルのうち、SSL (TLS) に対応済みのものを列挙していきたいと思います。 用語の定義 稿では、以下の用語を使います。 Implicit TLS (暗黙のTLS) TCPコネクション開始と同時にTLSセッションがいきなり始まる方式です。httpsなどはこれです。平文通信用と暗号通信用に別々のポートを割り当てる必要がありますが、そのぶん低レイテンシーを実現できます。 Explicit TLS (明示的TLS) TCPコネクションが確立すると、最初は平文で通信が始まり、そこからTLSへ移行する方式です。STARTTLSとか、そんな感じのコマンドが用意されているのがこれです。特徴としては、平文通信と暗号通信を同じポートでカバーできます。平文で始まって暗号へ切り替わるという手順を踏む分、レ

    SSL (TLS) 対応プロトコルのリスト - Qiita
  • AWS LightsailでWordPressを構築しSSL化する方法 | karelie

  • SSL証明書とは? 基礎から学ぶSSLコラム | さくらのSSL

    さくらのSSLコラム SSLとは?といった基の理解から、その必要性や選び方のコツ、最新情報まで、 初心者にも上級者にも役立つコラムを更新しています。 フィッシング詐欺メールが増加している中、VMCとBIMIの仕組みにより、Gmailなどで送信者のロゴが表示され、詐欺メールを見分ける新しい手段が提供されます。VMCは送信側が設定し、受信側はBIMIの確認方法を知っておく必要があります。 先日「RSA暗号を高速で解読できるアルゴリズムを開発した」と主張する”未査読”の論文が発表され、SNS上で「RSA暗号」がトレンド入りする珍しい事態が起きました。今回は実際にRSA暗号を高速で解読できたら何が起きるのか?当にインターネットは終わるのか?という点について考えてみましょう。

    SSL証明書とは? 基礎から学ぶSSLコラム | さくらのSSL
  • はてなブログへの接続をすべてHTTPSにできる機能の実装予定と、利用を検討するユーザー様に準備いただきたいこと - はてなブログ開発ブログ

    はてなブログでは、ユーザーの皆様により安全にご利用いただくため、それぞれのブログをHTTPSで配信できる機能のリリースを予定しています。お問合わせも多数いただいておりますが、実施のめどが立ったことから、対応内容とスケジュールをお知らせいたします。 対応内容とスケジュール 第一段階:はてなブログのダッシュボード・管理画面をHTTPS化します 第二段階:はてなが提供するドメインのブログをHTTPSで配信できるようにします 第三段階:独自ドメインのHTTPS化に対応します 混在コンテンツ(Mixed Content)について 編集サイドバーなどはてなブログの機能における対応について ブログ全体のHTTPS化について より安全に「はてなブログ」をご利用いただくため 新たなWeb技術に対応するため 付記・Webブラウザによる警告について 追記・対応状況について [2017/11/7] はてなブログ6

    はてなブログへの接続をすべてHTTPSにできる機能の実装予定と、利用を検討するユーザー様に準備いただきたいこと - はてなブログ開発ブログ
  • Let's Encrypt 総合ポータル

    Let's Encrypt 最新情報 ・ワイルドカード証明書と ACME v2 へ対応が完了しました(2018年03月15日 更新) ※技術的な詳細については ACME v2 とワイルドカード証明書の技術情報 をご覧ください。 ※ワイルドカード証明書の取得には、ACME v2 プロトコルに対応したクライアントと DNS による認証が必要です。証明書の取得・更新の際に、DNS の「TXT レコード」にワンタイムトークンを登録する必要があります。 ※サブジェクトの代替名(SAN : Subject Alternative Name)を使用した 複数のドメイン名・サブドメイン名に対して有効な証明書 も引き続き取得可能です。 Let's Encrypt について Let's Encrypt は、認証局(CA)として「SSL/TLSサーバ証明書」を無料で発行するとともに、証明書の発行・インストール・

    Let's Encrypt 総合ポータル
  • Azure App ServiceのPHPつかっていてcurlがSSLのエラーを吐くので対処 - uzullaがブログ

    github.com LINEのMessaging APIをたたくSDKがあり、今これをつかったアプリをかいておりますが、Azure App Serviceでうごかしてみています。 で、App ServiceにはいってるPHPにはca証明書の指定がないようで、以下の様なエラーがでました。*1 PHP Fatal error: Uncaught LINE\LINEBot\Exception\CurlExecutionException: SSL certificate problem: unable to get local issuer certificate in D:\home\site\vendor\linecorp\line-bot-sdk\src\LINEBot\HTTPClient\CurlHTTPClient.php:110 Stack trace: #0 D:\home\s

    Azure App ServiceのPHPつかっていてcurlがSSLのエラーを吐くので対処 - uzullaがブログ
  • Let's encrypt運用のベストプラクティス - Qiita

    この記事について Let's encryptは無料で使用できるSSLプラットフォームです。certbotコマンドを使って、簡単にSSL証明書の取得と更新ができます。 しかし、あまりに簡単で手軽すぎるためか、ネット上ではやや問題のある手順が紹介されているケースが見られました。私なりにベストと思われる手順をまとめておきますので、改善点があれば教えてください。 DNSの設定、Webサーバのセットアップ、certbotのインストールは完了しているとします。またcertbotのコマンド名はcertbot-autoで、$PATHが通っていると想定します。 証明書の取得 以下のような補助スクリプトを準備します。

    Let's encrypt運用のベストプラクティス - Qiita
  • Let's Encrypt の証明書を Ansible と certbot で Nginx にインストール & 自動更新

    Let's Encrypt の証明書を Ansible と certbot で Nginx にインストール & 自動更新 Sep 19, 2016 これもリニューアルネタです。 やりたいこと Let’s Encrypt の証明書を Ansible でインストールする その後の証明書の更新も自動で行うようにする その設定もやはり Ansible で行う 前提とする環境 Ubuntu 16.04 だと certbot が apt-get でインストールできますが、それ未満だと certbot-auto というコマンドを手動でインストールする必要があります。 中身はほぼ同じだと思いますが、そちらについての説明はしません。 Ubuntu 16.04 Ansible 2.1.1.0 nginx 1.10.1 手順 certbot のインストール certbot とは Let’s Encrypt の証

    Let's Encrypt の証明書を Ansible と certbot で Nginx にインストール & 自動更新
  • CentOSにLet's EncryptのSSL証明書を導入する - オープンソースこねこね

    やってみたので、手順をまとめました。実施したのはCentOS6+Apache2.2という、やや古い環境ですがCentOS7とかでも基的には同じはずです。 Let's Encryptの概要 手順 クライアントコマンドのインストール HTTPサーバの用意 クライアントコマンドを実行して証明書を取得 取得した証明書使うためのHTTPサーバの設定 自動更新のための設定 その他 Basic認証をかけたサイトにLet's Encryptを使う サードパーティツール CentOS6のpythonのバージョンが古い いろいろ参考にさせていただいたサイトなど Let's Encryptの概要 Let's Encryptは無料のSSL証明書を発行する認証局。 特徴は料金無料であるのと、専用のクライアントコマンドを使って証明書の発行を行う点。またワイルドカードの証明書は発行できない。有効期限が3ヶ月で、更新も

    CentOSにLet's EncryptのSSL証明書を導入する - オープンソースこねこね
  • 無料でSSL使える時代きてた!CloudFlare最高!!!(?) - uzullaがブログ

    しょうもない日記 YAPC行脚、福岡編 - uzullaがブログ とかかいた後になんとなくツイッターをみていたら、あるツイートをみまして。 packagist.jpをcloudflare対応したら、自動的にHTTPS対応できたでござる。すごい。一円も払ってないのに https://t.co/moCiiSwb44— Hiraku (@Hiraku) 2015年2月24日 それでCloudFlare(http://cloudflare.com/)がタダでSSL証明書を用意してくれるようになっていたのを知りました。 Cloudflare Free SSL/TLS | Get SSL Certificates | Cloudflare タダ!なんと甘美な響き! オチ SNIでかまわないなら、CloudFlareをつかえばValidなSSLがタダで利用できる。 SNIとは? NameBaseのVir

    無料でSSL使える時代きてた!CloudFlare最高!!!(?) - uzullaがブログ
  • 443以外のSSLポートをSquidでプロキシするには - shibainu55日記

    気がつけば随分久しぶりの更新。書き留めたいネタも溜まってしまったので、徐々にまた書いていきます。今回はSquidを使用したプロキシで、443以外のポートを使ったSSLサイトへのプロキシの仕方について。 例として、こんな状況を考えます。 目的のサイト(443以外のSSL Listenポート)はソースIP制限がされている(仮にhttps://hoge.com:12345とします) 許可されたソースIPからのアクセスになるよう、クライアントマシンからは特定のプロキシサーバを経由する クライアントマシンはプロキシサーバに対してSSHトンネリングを行う 図にすると以下のようなイメージですね(少しややこしいですが)。 この場合の動作としては、プロキシサーバが自分自身(127.0.0.1)から自身のSquidを使用し目的のサイトにWebアクセスしようとします。通常SSLで使用される標準ポートであるTCP

    443以外のSSLポートをSquidでプロキシするには - shibainu55日記
  • WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる

    OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。 というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。 というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。 前提条件 とりあえず以下のような感じの検証環境で試しました。 IPアドレス 説明 ホストO

    WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる
  • 1